連邦のサイバー当局は水曜日、サイバーセキュリティベンダーが国家による攻撃者がそのシステムに長期的かつ持続的なアクセスを持っていたと発表したことを受け、連邦機関に対しF5デバイスの特定とセキュリティアップデートの適用を義務付ける緊急指令を発出しました。
この命令は、連邦民間行政機関に10月22日までの対応を義務付けており、サイバーセキュリティ・インフラセキュリティ庁(CISA)が過去3週間で発出した2件目の緊急指令となりました。CISAは、影響を受けたベンダーが自社の内部システムや製品への攻撃を最初に認識してから数か月後に、これらの緊急指令を発出しています。
F5は、8月9日に自社システムへの不正アクセスを初めて把握し、その結果、BIG-IPのソースコードの一部や、当時社内で対応していた脆弱性に関する情報などのデータが盗まれたと発表しました。CISAは、F5がいつ同庁に侵入を報告したかについては明らかにしませんでした。
CISAの担当者は、現時点で侵害された連邦機関は把握していないと述べていますが、Ciscoファイアウォールに影響を与えるゼロデイ脆弱性を利用した攻撃の連続後に発出された緊急指令と同様に、対応と緩和策によって連邦ネットワーク内での潜在的な侵害の範囲をより明確に把握できると期待しています。
多くの連邦機関や民間組織が影響を受ける可能性があります。CISAによれば、行政機関全体で数千種類のF5製品が使用されています。
CISAのサイバーセキュリティ担当副長官ニック・アンダーセン氏は、これらの広く利用されているベンダーやその顧客に対する攻撃は、アメリカのテクノロジーサプライチェーンの主要要素を標的としたより広範なキャンペーンの一部であり、その影響は連邦機関、重要インフラプロバイダー、政府関係者にまで及ぶ可能性があると、記者説明会で述べました。
CISAは、F5のシステムに対する攻撃の背後にいる国や特定の脅威グループについては明らかにしませんでした。一般的に、国家による攻撃者の広範な目的は、標的となった被害者のネットワーク内に持続的なアクセスを維持し、システムを人質に取ったり、将来の攻撃を仕掛けたり、機密情報を収集したりすることだとアンダーセン氏は述べました。
CISAの命令は、連邦機関に対し、攻撃を受けてF5が公開したセキュリティパッチの適用、サポート対象外のデバイスやサービスの切断、そして指令の対象範囲内にあるすべてのF5製品の詳細なインベントリを含む報告書のCISAへの提出を義務付けています。
担当者は、F5のセキュリティパッチの有効性についてはベンダーに問い合わせるよう促し、侵害時に攻撃者が入手した脆弱性がソフトウェアアップデートで修正されたかどうかを独自に検証することは控えました。
CISAもF5も、攻撃者がF5の内部システムにどのようにアクセスしたかについては説明していません。
担当者は繰り返し、政府閉鎖やCISAの人員削減の波が、パートナーとの連携や今回の脅威への対応、緊急指令の発出能力に悪影響や遅延をもたらしたことはないと強調しました。アンダーセン氏は、2週間前の連邦政府閉鎖以降、CISAの従業員が何人削減されたかについては明言を避けました。
「これは本当にCISAを本来のミッションに戻すための一環です」とアンダーセン氏は述べました。
「確かに、これはトランプ政権発足以来発出された3件目の緊急指令かもしれませんが、これこそがCISAの中核的な運用ミッションです」とアンダーセン氏は述べました。「これこそ私たちがやるべきことであり、今まさに資産パートナーと連携しながらそのミッションを継続できています。」
翻訳元: https://cyberscoop.com/cisa-emergency-directive-f5-breach/
